通过安全连接发布非安全cookie会导致伪安全cookie

Question

当Firefox通过HTTPS连接收到cookie时，即使服务器没有将其作为安全cookie发送，它也会将其视为安全Cookie 。

当我从Firefox内检查cookie时，它显示“Send For：Encrypted connections only”。当Firefox在随后的安全请求中将cookie发送到服务器时，检查Java中的cookie（Cookie.getSecure（））表明发送的cookie不安全。 Firefox拒绝通过非安全连接发送这样的cookie。

Konqueror表现出相同的行为。

我希望确保客户端将通过HTTP请求发送cookie，或者知道标记为不安全的特定任意cookie永远不会作为非安全请求的一部分发送。有没有办法做到这一点？

Answer 1

火狐不会自动促进cookie时收到了HTTPS来保护，也不会不通过HTTPS发送非安全cookie：(setting the cookie)

见行＃1950年发送该cookie。

如果您查看https响应中的http标头，Set-Cookie标头中是否存在“安全”标志？

如果您未指定'安全'标志，则cookie将通过http和https发送。无法将非安全Cookie作为非安全请求的一部分发送。 （你的意思是别的吗？）